Всем привет,

Давеча я ответил не подумав (точнее имел ввиду некоторые сложные и
смутные мысли):
От 3 декабря 2014 г., 12:22:12 в fido7.ru.crypt ты писал:
??>>>>> В этом отношении самоподписанные сертификаты
??>>>>> оказываются даже надежнее: если сертификат
??>>>>> сервера внезапно поменялся (без
SL>>> А без сертификатов, шифрования и ЭЦП ещё надёжнее, всё
SL>>> строго, что на витрине, то и в магазине, без обмана. :)
VS>> Про "самоподписанные сертификаты надежнее" была не моя
VS>> реплика. Hо зерно истины в этом есть, серверному
VS>> ssh-отпечатку я как-то верю.
SL> Думаю зря веришь.

А после некоторых размышлений пришёл к обоснованным подозрениям, что так
и да, ssh-отпечатку веры уже никакой и подделать его должно быть очень
просто.

Согласно RFC 4716 <http://tools.ietf.org/html/rfc4716#section-4>
рассчитывается MD5 с результатом вида:
"c1:b1:30:29:d7:b8:de:6c:97:77:10:d7:46:41:63:87"

Однако, если мы можем порождать коллизии MD5, то для "ssh-rsa" мы можем
породить открытый ключ с тем же ssh-отпечатком, но с другим сравнительно
случайным n, который уже не будет произведением очень больших простых
чисел, соответственно, мы его сможем разложить на много маленьких, после
чего сможем выполнять все необходимые операции как это описано для
multi-prime RSA.

Для "ssh-dss" мы можем породить открытый ключ с тем же ssh-отпечатком,
но с другим сравнительно случайным p, который уже не будет простым,
соответственно, мы сможем его разложить на небольшие сомножители и
сравнительно просто провести логарифмирование y и получить x для
дальнейших операций.

Интересно, это уже известная уязвимость?